As regulamentações na área da cibersegurança são fundamentais e devem ser rigorosas para que se atinjam níveis de proteção elevados. No entanto, como qualquer outra regulamentação, há sempre o preço a pagar. Em Portugal as novas medidas de cibersegurança da NIS 2 podem custar 500 milhões de euros.
Governo português deve evitar o chamado “gold plating”, diz estudo
Não há dúvidas que Governos, empresas e consumidores, em toda a União Europeia, querem estar ciberseguros. As novas medidas que fazem parte da NIS 2 aumentam o rigor e cobrem novas áreas da sociedade, sendo uma resposta clara a possíveis ataques cibernéticos que trazem sempre custos substanciais à economia e à sociedade em Geral.
Segundo um estudo da Frontier Economics, desenvolvido para ajudar no debate sobre como implementar as medidas de forma apropriada e proporcional, concluiu-se que, para Portugal, a implementação da NIS 2 por parte das empresas pode custar 529 milhões de euros.
As pequenas empresas tendem a ser proporcionalmente mais afetadas, já que os custos de implementação representam uma parcela maior da sua faturação, em comparação com as grandes empresas.
De acordo com o que é referido, ao transpor a NIS 2, o governo português deve evitar o chamado “gold plating” – exagero na aplicação da legislação – para garantir que a legislação não crie barreiras ao mercado interno da UE nem infrinja o princípio de não discriminação.
Revela o estudo que Políticas discriminatórias, que restringem fornecedores com base em fatores não técnicos (como questões geopolíticas), podem aumentar custos, reduzir a inovação e limitar a concorrência. Por exemplo, proibir determinados fornecedores de equipamentos 5G pode custar €63 milhões por ano a Portugal e reduzir o PIB em €500 milhões até 2035.
Medidas discriminatórias baseadas em fatores não técnicos podem também reduzir o comércio e o produto económico de Portugal.
Os dados do estudo podem ser consultados no documento “Implications of new cybersecurity measures in Portugal”.
Recentemente, o executivo de Ursula von der Leyen anunciou a abertura de um processo de infração contra 23 dos 27 países da UE, incluindo Portugal, Alemanha, Espanha, França, Finlândia e Suécia por falta de cumprimento de prazos para a transposição da NIS 2 para a ordenamento nacional. Segundo o comunicado da UE, “na ausência de uma resposta satisfatória, a Comissão pode avançar com uma resposta fundamentada”, alertou a Comissão Europeia.
A NIS 2, sucessora da NIS, é uma diretiva da União Europeia, para a área da cibersegurança, que foi publicada a 27 de dezembro de 2022.
Uma das alterações mais significativas com a NIS 2 prende-se com o facto do número de organizações abrangidas passar a ser 10 vezes maior do que com a NIS 1. Se com a NIS 1, em Portugal, foram “impactadas” 460 entidades, com a NIS 2 o valor passará a ser superior a 4 mil. Na Europa o valor de empresas que terá de cumprir a NIS 2 ultrapassará as 160 mil.
Em Portugal, a transposição da Diretiva NIS 2 está atualmente em consulta pública até 12 de dezembro de 2024.